trasko_dmitry 0 Опубликовано 31 мая, 2019 Share Опубликовано 31 мая, 2019 Добрый день! На сервере lotus notes поймали шифровальщика, зашифровались файлы Лотуса, почтовые базы пользователей с расширением nsf и частично некоторые документы, просьба помочь, архив с лог файлами согласно инструкции прикрепил. CollectionLog-2019.05.31-12.56.zip Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 31 мая, 2019 Share Опубликовано 31 мая, 2019 Здравствуйте! Текстовый файл с требованием выкупа вместе с парой небольших зашифрованных документов упакуйте в архив и прикрепите к следующему сообщению. "Пофиксите" в HijackThis: O4 - Startup other users: C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt O4 - Startup other users: C:\Documents and Settings\Default User\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt O4 - User Startup: C:\Documents and Settings\Администратор\Главное меню\Программы\Автозагрузка\HOW_TO_DECRYPT.txt Дополнительно:Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Ссылка на сообщение Поделиться на другие сайты
trasko_dmitry 0 Опубликовано 31 мая, 2019 Автор Share Опубликовано 31 мая, 2019 Спасибо за ответ, приложил нужные файлы files.7z FRST.7z Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 1 июня, 2019 Share Опубликовано 1 июня, 2019 Файлы C:\windows\system32\llll.exe C:\windows\system32\lll.exe C:\windows\system32\zzz.exe аккуратно упакуйте с паролем virus и пришлите мне в ЛС. Затем: Отключите до перезагрузки антивирус. Выделите следующий код: Start:: 2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\HOW_TO_DECRYPT.txt 2019-05-31 00:34 - 2019-05-31 00:34 - 000000932 _____ C:\Program Files\Common Files\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Рабочий стол\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Мои документы\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\Программы\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Главное меню\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\Local Settings\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Администратор\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\Local Settings\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\NetworkService\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\Local Settings\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\LocalService\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Рабочий стол\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Мои документы\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\Программы\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Главное меню\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\Local Settings\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\Default User\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Рабочий стол\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\Программы\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\Главное меню\HOW_TO_DECRYPT.txt 2019-05-31 00:30 - 2019-05-31 00:30 - 000000932 _____ C:\Documents and Settings\All Users\HOW_TO_DECRYPT.txt 2019-05-31 00:27 - 2019-05-31 00:27 - 000018432 _____ C:\windows\system32\llll.exe 2019-05-31 00:03 - 2019-05-31 00:03 - 000018432 _____ C:\windows\system32\lll.exe 2019-05-30 23:23 - 2019-05-30 23:23 - 000009216 _____ C:\windows\system32\zzz.exe Zip: c:\FRST\Quarantine\ End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Подробнее читайте в этом руководстве. На рабочем столе появится архив Date_Time.zip (Дата_Время) Отправьте его на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Ссылка на сообщение Поделиться на другие сайты
trasko_dmitry 0 Опубликовано 3 июня, 2019 Автор Share Опубликовано 3 июня, 2019 Добрый день! Отправлено в личку и на почту. Файл приложил Fixlog.txt Ссылка на сообщение Поделиться на другие сайты
Sandor 1 296 Опубликовано 4 июня, 2019 Share Опубликовано 4 июня, 2019 При наличии лицензии на любой из продуктов Касперского создайте запрос на расшифровку. Папку C:\FRST пока не удаляйте. Смените пароль на RDP. Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти